ERM (Enterprise Risk Management)

Definisi Enterprise Risk Management

            Enterprise Risk Management (ERM) adalah “suatu proses yang dipengaruhi oleh board of director, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi, dan mencakup organisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian potensial yang mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup pantas berkaitan dengan pencapaian tujuan organisasi” (COSO ERP, 2004).

Framework ERM

Dua buah framework Enterprise Risk Management (ERM) adalah COSO dan RIMS. Keduanya mendeskripsikan pendekatan untuk mengidentifikasi, menganalisa, bertanggung jawab, dan memonitor risiko ataupun peluang di dalam maupun di luar lingkungan yang dihadapi perusahaan. COSO memiliki delapan  komponen dan empat kategori objek. Delapan komponen tersebut antara lain:

1)        Lingkungan Internal

     Komponen ini meliputi sikap manajemen di semua tingkatan terhadap operasi secara umum dan konsep kontrol secara khusus. Hal ini mencakup: etika, kompetensi, serta integritas dan kepentingan terhadap kesejahteraan organisasi. Juga tercakup struktur organisasi serta kebijakan dan filosofi manajemen. Bagaimanapun, inti dari berbagai kegiatan adalah orangnya dan lingkungan dimana dia beraktivitas. Faktor manusia yang dimaksudkan disini adalah atribut yang melekat di orang tersebut, misalnya: integritas, nilai etika, dan kompetensi.

     Lingkungan internal merupakan dasar dari seluruh komponen ERM yang menyajikan disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan organisasi ditetapkan, aktivitas kegiatan dibangun, dan bagaimana risiko diidentifikasi, dinilai, dan ditindaklanjuti. Lingkungan internal juga mempengaruhi bagaimana desain dan fungsi dari aktivitas pengendalian, sistem informasi dan komunikasi, dan aktivitas pemantauan. Lingkungan internal ini terbentuknya sangat dipengaruhi oleh latar belakang sejarah dan kultur atau budaya orang dan masyarakat sekitar yang membentuknya.

     Lingkungan internal terdiri dari berbagai sub komponen, yaitu:

a.    Filosofi manajemen risiko yaitu seperangkat keyakinan dan sikap yang mencirikan bagaimana organisasi memandang risiko organisasi dalam segala hal;

b.    Harapan risiko yang diinginkan (risk appetite) yaitu besaran dan jumlah risiko yang diharapkan dan diterima organisasi;

c.    Pimpinan yaitu struktur, pengalaman, independensi, dan peran pengawasan (oversight) yang dimainkan.

d.   Integritas dan nilai etika yaitu preferensi, standar perilaku, dan gaya;

e.    Komitmen kompetensi yaitu pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan tugas dan pekerjaan;

f.     Struktur Organisasi yaitu kerangka fungsi manajemen yang berupa perencanaan, pelaksanaan, pengendalian, dan aktivitas pemantauan;

g.    Wewenang dan tanggung jawab yaitu tingkatan dimana individu dan tim di dalam organisasi memiliki wewenang dan didorong untuk menggunakan inisiatifnya untuk mengarahkan berbagai hal penting dan mengatasi permasalahan sebatas wewenang yang dimilikinya;

h.    Standar SDM yaitu praktik-praktik berkaitan dengan rekrutasi, orientasi, training, evaluasi, konseling, promosi, kompensasi, dan pengambilan tindakan perbaikan yang segera berkaitan dengan masalah SDM.

2)        Penetapan Tujuan

Tujuan ditetapkan pada tingkat strategis yang menjadi dasar untuk penetapan tujuan operasional. Pelaporan, dan ketaatan. Setiap organisasi menghadapi berbagai risiko baik yang bersumber dari internal maupun eksternal. Penetapan tujuan merupakan langkah awal untuk nantinya dapat mengidentifikasi kejadian, menilai risiko, dan menentukan respon terhadap risiko.

3)        Identifikasi Kejadian

Manajemen mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi dalam mencapai tujuannya dan juga memastikan apakah kejadian yang mempengaruhi kegiatan organisasi dalam mencapai tujuannya, juga membuka peluang bagi organisasi untuk menerapkan strategi yang lebih baik dalam upaya untuk mencapai tujuan organisasi. Umumnya, kejadian yang mengakibatkan dampak negatif merupakan risiko yang harus dinilai dan direspon manajemen untuk bagaimana mengurangi dampak risiko yang terjadi dan mencegah kemungkinan terjadinya. Sedangkan kejadian yang memberikan dampak positif merupakan peluang yang perlu dihubungkan strategi dan proses pencapaian tujuan.

Manajemen perlu mempertimbangkan faktor internal dan eksternal mengenai kemungkinan terjadinya risiko dan peluang yang dapat dimanfaatkan organisasi. Dalam mengidentifikasi kejadian (events), manajemen perlu mempertimbangkan berbagai faktor baik internal maupun eksternal yang menimbulkan terjadinya risiko ataupun peluang yang mempengaruhi organisasi dalam pencapaian tujuannya. Berikut beberapa contoh faktor eksternal yang dipertimbangkan:

a.    Ekonomi, seperti perubahan harga, ketersediaan modal, perdagangan bebas, ekonomi global, dan sebagainya;

b.    Lingkungan alam, seperti banjir, kebakaran, gempa bumi, cuaca atau iklim, dan sebagainya;

c.    Politik, seperti pemilihan umum, reformasi pemerintahan, peraturan perundang-undangan yang baru, dan sebagainya;

d.   Sosial, seperti perubahan demografi, kultur budaya dan masyarakat, gaya hidup individu dan masyarakat, dan sebagainya;

e.    Teknologi, seperti perubahan yang cepat peralatan komputer, proses penyimpanan data, dan sebagainya.

Berikut beberapa contoh faktor internal yang dipertimbangkan:

a.    Infrastruktur, seperti peningkatan alokasi modal untuk pemeliharaan dan dukungan kegiatan operasional, dan sebagainya;

b.    Personil, seperti kecelakaan di tempat kerja, kegiatan yang mengarah pada kecurangan dan pelanggaran, unjuk rasa buruh atau tenaga kerja, dan sebagainya;

c.    Proses, seperti modifikasi proses, kesalahan dalam pemrosesan, keputusan outsourcing, dan sebagainya;

d.   Teknologi, seperti peningkatan sumber-sumber untuk menangani volume kerentanan yang terjadi, pelanggaran dalam sistem pengamanan, sistem komputer mengalami kerusakan, dan sebagainya.

4)        Penilaian Risiko

Penilaian risiko memungkinkan setiap organisasi untuk mempertimbangkan luasnya kejadian yang dapat mempengaruhi pencapaian tujuan organisasi. Untuk menilai kejadian yang dapat menimbulkan risiko, manajemen menilainya dari dua perspektif, yaitu kemungkinan terjadinya kejadian tersebut (likelihood) dan dampak yang ditimbulkan dari kejadian tersebut (impact). Dampak dari kejadian harus diuji baik untuk masing-masing kejadian yang mengandung risiko maupun kelompok risiko yang mempengaruhi kegiatan untuk pencapaian tujuan organisasi. Risiko dinilai beik berdasarkan keberadaan risiko yang melekat (inherent risk) maupun risiko yang tidak dapat dikurangi lagi kemungkinan terjadinya atau dampak yang ditimbulkan (residual risk).

5)        Respon terhadap Risiko (risk response)

Setelah risiko dinilai, manajemen menentukan bagaimana risiko direspon, yaitu bagaimana tindakan-tindakan dilakukan untuk mengelola risiko yang terjadi atau berpotensi akan terjadi. Strategi untuk mengelola risiko terbagi menjadi empat, yaitu:

a.    Strategi menghindar (avoidance)

Keluar atau melepaskan diri dari kegiatan yang berisiko. Upaya-upaya yang dilakukan melalui strategi ini, antara lain: keluar atau tidak ikut dalam produk atau pelayanan tertentu, mengurangi perluasan pada areal pasar yang baru, atau menjual/melepaskan (divestasi) divisi yang mengandung risiko tinggi;

b.    Strategi mengurangi (reduction)

Tindakan yang diambil difokuskan pada bagaimana mengurangi kemungkinan terjadi, dampak yang ditimbulkan, atau keduanya atas risiko yang sudah diidentifikasi dan dinilai. Penerapan pengendalian internal yang efektif merupakan satu tindakan untuk mengurangi risiko yang terjadi;

c.     Strategi membagi/memindahkan (sharing/transfer)

Mengurangi kemungkinan atau dampak risiko dengan membagi atau memindahkan risiko ke area lain yang risikonya lebih rendah. Tindakan yang dilakukan meliputi: mengasuransikan produk, jasa, atau kegiatan yang dilaksanakan, menggunakan jasa pihak lain untuk melakukan kegiatan (outsourcing), dan sebagainya;

d.    Strategi menerima (acceptance)

Tidak ada tindakan yang dilakukan untuk menangani risiko, baik berkaitan dengan kemungkinan terjadi maupun dampak yang ditimbulkan. Artinya, kejadian yang terjadi diterima apa adanya. Umumnya, strategi ini diambil terhadap kegiatan-kegiatan yang berisiko rendah. Dalam mempertimbangkan strategi mengelola risiko (risk response) apa yang dipilih, harus dinilai bagaimana pengaruh kemungkinan risiko dan dampak yang ditimbulkan, begitu pula pertimbangan biaya dan manfaat yang ditimbulkan. Strategi mengelola risiko yang dipilih harus mampu menghasilkan risiko residual dalam batas harapan risiko yang dapat ditolerir atau diterima. Strategi mengelola risiko yang digunakan harus dapat membawa risiko dimaksud ke dalam batas risiko yang diharapkan (risk appetite). Strategi menangani risiko tidak boleh dilakukan secara individual atau parsial, melainkan harus menempatkan risiko dalam portofolio, agregat, atau besarannya sebagai satu keseluruhan di dalam organisasi.

6)        Aktivitas Pengendalian

Merupakan kebijakan dan prosedur yang membantu memastikan bahwa risk response yang dipilih dilaksanakan dengan memadai. Meskipun aktivitas pengendalian umumnya dikenal sebagai strategi untuk mengurangi risiko, namun aktivitas pengendalian tertentu juga dipakai pada strategi risk response lain. Aktivitas pengendalian dipasangkan di seluruh organisasi, yaitu disetiap tingkatan maupun fungsi dalam organisasi. Aktivitas pengendalian dikelompokkan dalam berbagai ccara dan mencakup areal aktivitas yang mungkin bersifat preventif atau detektif, manual atau terkomputerisasi, serta di tingkatan proses atau manajemen.

7)        Informasi dan Komunikasi

Informasi diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan kerangka waktu yang tepat dan sesuai sehingga memungkinkan setiap orang untuk dapat melaksanakan tugas dan tanggung jawab yang dibebankan kepadanya. Informasi harus cukup atau sufisien dan konsisten dengan kebutuhan organisasi untuk mengidentifikasi, menilai, dan merespon atau mengelola risiko, yaitu dengan tetap dalam batas toleransi risiko yang ditetapkan. Sistem informasi yang menggunakan data dan informasi yang umumnya diperoleh dari sumber-sumber eksternal, menyajikan informasi untuk mengelola risiko dan membuat keputusan berkenaan dengan tujuan yang ingin dicapai organisasi. Di samping itu, informasi harus berkualitas dalam rangka untuk mendukung pengambilan keputusan. Kualitas informassi yang dimaksud berhubungan dengan beberapa hal berikut ini:

a.    Isi harus sesuai dan kerincian informasi harus pada tingkat yang benar;

b.    Informasi harus tepat waktu dan tersedia pada saat dibutuhkan;

c.    Informasi harus selalu baru atau diperbarui yang mencerminkan informasi keuangan dan operasional;

d.   Informasi harus akurat dan dapat diandalkan;

e.    Informasi dapat diakses oleh mereka yang membutuhkan.

Komunikasi yang efektif juga timbul dan menyebar ke seluruh organisasi. Setiap orang menerima pesan yang jelas dari pimpinan bahwa tanggung jawab mengelola risiko harus ditangani dengan serius atau sungguh-sungguh. Harus mendesain komunikasi yang efektif dengan pihak luar, seperti: pelanggan, pemasok, dan pemangku kepentingan lain. Komunikasi dapat mengambil berbagai bentuk, seperti: manual kebijakan, memoranda, email, buletin organisasi dan pesan melalui video. Dalam hal pesan disampaikan secara lisan, maka baik nada suara maupun gerak tubuh sangat mempengaruhi bagaimana pesan tersebut diinterpretasikan.

8)        Monitoring

Penerapan manajemen risiko (ERM) dimonitor atau dipantau terus dalam rangka untuk memastikan keberadaannya dan apakah komponen-komponennya berfungsi dengan memadai setiap saat. Monitoring dapat dilakukan melalui berbagai bentuk, yaitu: monitoring terus-menerus (on going), penilaian terpisah (separate evaluation), atau kombinasi diantara keduanya. Monitoring terus-menerus terjadi dalam pelaksanaan aktivitas kegiatan yang dilakukan. Sementara itu, ruang lingkup dan frekuensi penilaian terpisah tergantung pada hasil penilaian (assessment) risiko dan efektivitas dari prosedur monitoring terus-menerus yang dilakukan.

Kekurangan-kekurangan dari penerapan strategi manajemen risiko dilaporkan ke pihak yang lebih tinggi, sedangkan permasalahan yang sangat serius dan mendesak dilaporkan kepada pimpinan tertinggi di organisasi untuk ditetapkan keputusan strategisnya. Dari kedelapan komponen yang telah diuraikan ini, intinya adalah bahwa komponen manajemen risiko (ERM) ini menyajikan suatu garis besar untuk menjawab pertanyaan-pertanyaan umum berikut berkaitan dengan pemikiran untuk penerapan konsep manajemen risiko.

Empat kategori objek antara lain:

a.    Strategi-tujuan akhir, mendukung misi organisasi;

b.    Operasi-menggunakan sumber daya secara efektif dan efisien;

c.    Laporan finansial;

d.   Pemenuhan (compliance)-sesuai dengan hukum dan regulasi yang berlaku.

RIMS (Risk and Insurance Management Society) mendefinisikan ERM sebagai kultur, proses, dan perangkat untuk mengidentifikasi peluang yang strategis dan mengurangi ketidakpastian. ERM merupakan kumpulan pandangan mengenai risiko dari sudut pandang operasional maupun strategis dan merupakan proses yang mendukung pengurangan ketidakpastian serta mempromosikan eksploitasi peluang. Menurut RIMS Risk Maturity Model untuk ERM terdapat tujuh buah kompetensi utama sebaik apa manajemen risiko enterprise dapat dicapai, berikut adalah tujuh kompetensi berdasarkan RIMS Risk Maturity Model:

a.    ERM – berbasis pendekatan (based approach) – derajat dukungan untuk ERM dari segi kultur perusahaan.

b.    ERM manajemen proses (process management) – derajat bergolaknya proses ERM yang mengacu pada proses bisnis dan menggunakan langkah proses ERM untuk mengidentifikasi, memperkirakan, mengevaluasi, mengurangi, dan memonitor.

c.    Manajemen risiko keinginan (risk appetite mangement) – derajat pemahaman akibat risiko perdagangan pada bisnis perusahaan.

d.   Akar kedisiplinan (root cause discipline) – derajat disiplin yang diaplikasikan untuk mengukur akar permasalahan dan mendefinisikan event yang terkait pada proses bisnis sehingga dapat mengurangi ketidakpastian, kumpulan informasi, dan mengukur keefektifan kontrol.

e.    Risiko yang tidak di-cover (uncovering risk) – derajat kualitas dan cakupan penetrasi dari aktivitas prediksi risiko dalam dokumentasi risiko dan peluang.

f.     Manajemen performansi – derajat dijalankannya visi dan strategi, bekerja dari keuntungan finansial, costumer, proses bisnis, dan pembelajaran perkembangan sudut pandang seperti balanced scorecard dari Kaplan atau pendekatan sejenis lainnya.

g.    Keterikatan dan dukungan bisnis (business resiliency and sustainability) – tingkatan pada aspek dukungan proses ERM yang terintegrasi pada perencanaan operasional.

Empat kategori objek antara lain:

·      Strategi – tujuan akhir, mendukung misi organisasi;

·      Operasi – menggunakan sumber daya secara efekstif dan efisien;

·      Laporan finansial - keandalan pelaporan operasional dan keuangan;

·      Pemenuhan (Complience) – sesuai dengan hukum dan regulasi yang berlaku.